一、问题及原因分析
当前,运用大数据推动经济发展、完善社会治理、提升政府服务和监管能力正成为趋势。随着人工智能、移动通信、物联网为代表的新一代信息技术高速发展,人类正在走向大数据时代,数据业已成为“国家基础性战略资源”。由此,在大数据时代更应该重视网络安全,应利用其对信息化建设加以适当的安全制衡和引导,才能保证其按照健康、良好的方向发展。
然而,我国很多企事业单位对网络安全的重视程度还没有真正到位,大部分单位重信息化建设轻网络安全建设,甚至将网络安全建设视为信息化建设的附庸和衍生物。由于没有真正理解“网络安全与信息化发展并重”,以至于在经费安排、责任分担、安全监管上将信息化建设安全凌驾于网络安全之上,在工作中常常出现以下情况:
1)信息化规划时,重点规划信息化建设的内容和安排经费,然后“象征性”部署部分网络安全措施;
2)信息化建设管理为简单方便,将网络安全建设内容由信息化建设承包单位统一管理,导致网络安全建设方案、步骤和效果受到信息化建设承包单位的限制;
3)信息系统运营中,将网络安全运营附属于信息系统运营之中,一方面导致出现不专业的网络安全运营,另一方面则导致安全舞弊现象,即在出现运营问题时,网络安全运营者首先对信息化运营者负责。
4)在智慧城市、工业互联网等高度互联的大型信息系统中,各个部门、子系统之间的网络安全预警、情报、实时态势以及事件处置各自独立进行,缺乏统一监管和协调。
上述情况的出现,轻则导致网络安全投入的减少,降低网络安全风险防范能力,重则导致不能发现真正安全事件,或者即使发现了事件也没有办法来应对和解决。
二、具体建议
建议进一步认真学习提高对 “网络安全与信息化发展并重”、“网络安全和信息化是一体之两翼、驱动之双轮”等重要论述的理解,在处理网络安全和信息化关系时,要重视网络安全的重要性,要将网络安全放在一个平等的、独立第三方的位置,而不是处于信息化的附属地位。只要这样,网络安全才能完全发挥出其安全价值,才能保障和制衡数据时代的可持续性发展。为进一步提高对网络安全的重视,特建议如下:
1)制定政策配套细则,提高网络安全制衡能力
我国党和政府一贯高度重视网络安全和信息化发展并重,出台了多个相关法律和政策文件。但落实到实际工作上,基层部门对网络安全的重视程度普遍还没有真正到位。因此,建议出台政策配套细则文件,强调网络安全在信息化规划、建设和运营时的重要性,并有效指导基层单位进行落实。包括在关键信息基础设施建设中制定网络安全管理办法、设立网络安全的“一票否决权”、设定项目网络安全预算最低比例要求(如8%-12%)、规范网络安全独立审计制度等。
2)强调网络安全独立性,落实网络安全保障职责
建议出台管理措施,要求在涉及智慧城市、关键信息基础设施等项目的规划、建设和运营过程中,要求联合具有相关网络安全资质的单位进行。并在统一的管理下,信息化部分和网络安全部分须由不同责任主体承担,并严格落实“网络安全和信息化三同步原则”。同时,在涉及国家安全、国计民生和公共利益的信息化项目中,鼓励建设独立于信息系统运营的网络安全运营中心,强化网络安全事件独立处理能力和网络安全保障效果。
3)实施国家网络安全重大工程,强化网络安全可控水平
围绕国家重大战略需求和重要信息化系统,布局实施一批重大安全工程,如建设统一的威胁情报、态势感知和数据安全预警系统等。通过实施国家层面的网络安全重大工程,不仅可以加快构建关键信息基础设施安全防御体系,提高对智慧城市和关键信息基础设施的安全管控能力,还可以显著带动各单位提高对网络安全的重视程度,形成网络安全与信息化发展并重的局面,并切实维护国家网络空间主权和发展利益。